Skip to main content

Mit einem Klick mehr über uns erfahren

Neue DSGVO und deren Auswirkung auf Videokonferenzen & Webhosting

Wichtige Key Facts – Das musst du über die neue DSGVO wissen!

Datenschutz – ein Thema, welches uns seit Beginn des digitalen Zeitalters begleitet. Im Laufe der Jahre gab es immer wieder bedeutsame Beschlüsse, die verabschiedet wurden und großen Einfluss auf den (internationalen) Datenverkehr haben. Website-Betreiber, Webhosting-,  Videokonferenz-Anbieter und Co. müssen sich somit immer wieder neuen Herausforderungen stellen und dafür sorgen, dass ihr Web-Auftritt und dazugehörige Dienstleistungen sowie Tätigkeiten der Datenschutz-Grundverordnung unterliegen.

Besonders ereignisreich war es jedoch für Europa und die USA, da es viele Unstimmigkeiten gab. Welche Ereignisse darunter zu verstehen sind, verrät dir die nachfolgende Übersicht. Diese zeigt dir diverse Beschlüsse rund um das Thema Datenschutz und Inhalte der neuen DSGVO.

 

  • 2000-2015: Safe Harbor

Safe Harbor ist ein Abkommen zwischen der EU-Kommission und der USA. Davor galt die EU-Datenschutzrichtlinie. Dabei wurde festgelegt, dass eine Übermittlung personenbezogener Daten nur dann möglich ist, wenn die davon betroffenen Länder ein hohes Datenschutzniveau nachweisen konnten. Dies konnte die USA jedoch nicht. In solchen Fällen mussten Unternehmen an der sogenannten Safe Harbor teilnehmen. Dabei stellte sich jedoch folgendes Problem heraus: Teilnehmer der Safe Harbor mussten sich keiner externen Zertifizierung oder ähnlichem unterlegen. Sie mussten sich lediglich öffentlich dazu bekennen, die aufgestellten Datenschutz-Grundsätze der Safe Harbor einzuhalten. Daraufhin wurde man in eine Liste des US-Handelsministeriums aufgenommen und galt als Unternehmen mit ausreichendem Datenschutzniveau. Ob ein Unternehmen eine Umsetzung der vorgeschriebenen Grundsätze tatsächlich verwirklichte, wurde jedoch nicht geprüft.  Somit war die Gefahr groß, dass diese Datenschutzregelungen oftmals nicht eingehalten wurden. 

 

  • seit 2001: Patriot Act

Kurz nach dem Terroranschlag am 11. September 2001 wurde der USA Patriot Act ins Leben gerufen. Durch dieses Gesetz werden Unternehmen in der USA dazu verpflichtet, vorhandene, zum Teil auch länderübergreifende, Kundendaten an US-Behörden und das FBI weiterzugeben. Somit sollen in Zukunft Terroranschläge und jegliche Straftaten besser erkannt und darüber ermittelt werden. 

 

  • 2015/16 – 2020: Privacy Shield

Der Privacy Shield sollte eine Art Schutzschild für persönliche Daten aus der EU an die USA darstellen. Aufgrund dieser Absprache mussten sich US-amerikanische Unternehmen in eine Liste eintragen. Darüber verpflichteten sie sich die Regelungen bezüglich des Umgangs der personenbezogenen Daten einzuhalten. Gegenüber des Safe Harbors mussten sie jetzt jedoch mit Sanktionen rechnen, sollten die Regeln nicht eingehalten werden. Zu den Regelungen gehörten unter anderem die Zweckbindung (Daten dürfen nur für den angegebenen Zweck und nicht darüber hinaus genutzt werden) und die Datensparsamkeit (nur erforderliche Daten dürfen gespeichert werden). Im Gegensatz zum Safe Harbor durften amerikanische Geheimdienste nur noch mit Einschränkung und Kontrolle auf die Daten zugreifen. Trotzdem sei der Schutz der Daten nicht ausreichend gewesen. Die EU konnte sich einzig auf Zusicherung der Behörden verlassen. Feste Verträge diesbezüglich gab es nicht. Aufgrund der Kritik wurde der Privacy Shield 2020 eingestellt.

 

  • seit 2018: Cloud Act

Da bei dem zuvor entstanden Patriot Act nicht eindeutig war, wie außerhalb der USA mit diesem Thema umgegangen werden soll, wurde deshalb 2018 der Cloud Act in den USA verabschiedet. Dieser beinhaltet das Recht der US-Behörden auf personenbezogene Daten von US-Unternehmen zuzugreifen –  auch wenn die Speicherung dieser Daten außerhalb der USA erfolgt. Aus der Sicht der USA sind damit Strafverfolgungen auch grenzübergreifend möglich und die nationale Sicherheit somit bewahrt und optimiert. Dabei gibt es bei diesem Gesetz vor allem auch Anpassungen an heutige, aktuelle Bestimmungen der Cloud-Technologie. Jedoch ist der Cloud Act für deutsche Unternehmen eine schwierige Angelegenheit. Laut neuer DSGVO sei die Herausgabe von Daten nur dann erlaubt, wenn zwischen der EU und einem Drittland ein Rechtshilfeabkommen in Strafverordnungen besteht. Dies gibt es jedoch nicht zwischen der EU und den USA. Somit ist es deutschen Unternehmen davon abzuraten eine Zusammenarbeit mit amerikanischen Dienstleistern/Cloud-Anbietern einzugehen, da ihre Services nicht datenschutzkonform sind und Unternehmen sich somit strafbar machen können.

 

  • seit 25.05.2018: die neue DSGVO

Diese neue Datenschutz-Grundverordnung soll den Umgang von Unternehmen, Behörden und Vereinen mit personenbezogenen Daten regeln und vereinheitlichten. Das heißt zum Beispiel: Wie darf ein Unternehmen Daten einer Person erheben und diese verarbeiten? Der Datenschutz wurde somit auch für die ganze EU vereinheitlicht. Auch Unternehmen mit  Sitz außerhalb Europas sind teilweise davon betroffen, und zwar dann, wenn sie Daten von EU-Bürgern erheben wollen. 

 

Welche Rechte ergeben sich aus der neuen DSGVO für Nutzer?

  • Unternehmen benötigen zuerst eine Zustimmung und Einwilligung des Nutzers für die Datenverarbeitung (die Zustimmung kann auch jederzeit widerrufen werden).
  • Nutzer besitzen den Anspruch auf Löschung all ihrer gespeicherten Daten.
  • Informationen über die Erfüllung der DSGVO-Richtlinien durch das Unternehmen müssen für den Nutzer einsehbar sein.

 

Webhosting in Bezug auf die neue DSGVO

Welche genauen Auswirkungen und  Folgen die neue DSGVO auf das Webhosting hat, erfährst du hier.
Websites nutzen immer externe Server, welche Daten speichern, unter anderem auch personenbezogene. Um die Speicherung möglichst sicher zu gestalten, ist es wichtig vor Auftragsverarbeitung (alt: Auftragsdatenverarbeitung) einen Vertrag bezüglich der Datenschutz-Grundverordnung gemäß nach Art. 28 DSGVO abzuschließen.
Inhalte dieses Vertrages sind durch das Bundesdatenschutzgesetz vorgegeben. Das Bundesdatenschutzgesetz enthält einen Zehn-Punkte-Katalog. Diese Punkte müssen in jedem Auftragsverarbeitungsvertrag berücksichtigt werden, denn sie gewährleisten den Datenschutz bei einer Datenverarbeitung. Darüber hinaus können im Einzelfall natürlich noch weitere Punkte für den Vertrag vereinbart werden.

Ob du die Inhalte des Zehn-Punkte-Katalogs erfüllst, kannst du mithilfe einer Checkliste überprüfen.

 

Die Einbindung von Google Analytics in Bezug auf die neue DSGVO

Durch die Einbindung des Analyse-Tools “Google-Analytics” werden ebenfalls personenbezogene Daten extern gespeichert und verarbeitet. Bevor es die neue DSGVO gab, war eine Einbindung des Tracking-Tools “Google Analytics” auch ohne eine eindeutige Einwilligung des Nutzers möglich. Voraussetzungen dafür waren lediglich der AV-Vertrag und die IP-Anonymisierung (IP-Adressen der Nutzer werden vor Ablauf der Datenübertragung anonymisiert). Dass personenbezogene Daten an den Google Server gesendet wurden, wurde bereits vor der DSGVO-Regelung kritisiert. Zudem informiert Google nicht ausreichend darüber, welche Daten letztendlich  genau genutzt und gespeichert werden. Mit der neuen DSGVO werden diese Punkte jetzt rechtlich geregelt. Google-Analytics kann nur mit einer Einwilligung des Users verwendet werden. Nutzer müssen einer Datenübertragung und Nutzung von Cookies zustimmen. Vor einer ausdrücklichen Einwilligung hinsichtlich des Nutzers sind Datenflüsse untersagt.

 

Weitere Punkte, die Betreiber erfüllen müssen, um Google Analytics datenschutzkonform nutzen zu können, sind:

  • Durch die Verwendung eines Erweiterungscode namens „anonymizeIp“ werden bei “Google Analytics” alle IP-Adressen der Nutzer anonymisiert, bevor eine Datenübertragung stattfindet.
  • Google Analytics muss als Dienst im Datenschutzhinweis der entsprechenden Website für alle Nutzer ersichtlich sein. Dabei muss auch zwingend hervorgehen, welche Daten genau von “Google Analytics” erhoben werden und vor allem wann und wie diese Daten Deutschland verlassen.
  • Nutzer müssen auch darüber informiert werden, dass Google Analytics meist eigene Cookies verwendet.
  • Eine Aufklärung der Rechte hinsichtlich der Datenerhebung und wie man diese beanspruchen kann, ist ebenfalls anzugeben.

 

Nicht nur bei der Verwendung des Tracking-Tools “Google-Analytics”, sondern auch alle anderen verwendeten Dienste müssen entsprechend hinsichtlich der Datenschutzbestimmungen auf der Website aufgelistet und erläutert werden. Für den Nutzer muss ersichtlich sein, welche Daten bei den jeweiligen Diensten erhoben werden und wo diese letztendlich ankommen.

 

Videokonferenzen in Bezug auf die neue DSGVO

Nicht nur Webhosting, sondern auch diverse Videokonferenz-Anbieter sind von der DSGVO-Regelung betroffen. Die größten Anbieter für Webmeeting (z.B. Zoom oder Cisco Webex) haben ihren Sitz in der USA. Deshalb werden die Nutzerdaten auch nach dortigem Recht verarbeitet. Gerade deshalb werden immer häufiger europäische Dienste bevorzugt. Um trotzdem Kunden gewinnen zu können, sollten amerikanische Unternehmen zusätzliche Sicherheitsvorkehrungen bezüglich der Daten vornehmen – zum Beispiel mit dem Abschluss des Standard Contractual Clauses (SCC)”. Diese Regeln binden den Vertragspartner an die Einhaltung der europäischen Datenschutzregeln. Hat ein amerikanisches Unternehmen das Privacy-Shield-Zertifikat, so galt es ebenfalls als sicher. Dies ist mittlerweile nicht mehr der Fall, wie bereits oben beschrieben. Für bestimmte Länder gibt es seitens der EU “Angemessenheitsbeschlüsse”, die den Schutz der Daten versprechen. An diesen könnte sich der Nutzer gutem Gewissens orientieren. In Ausnahmefällen können die Datenschutz-Regelungen auch vertraglich mit dem Anbieter festgelegt werden. 

 

Bezüglich der Nutzung von den Tools gibt es folgende Punkte zu beachten:

  • Man sollte Dienste wählen, die datenschutzfreundlich sind.
  • Datenschutzbeauftragte des eigenen Unternehmens sollten in die Entscheidung mit einbezogen werden.
  • Voreinstellungen sollten im Hinblick auf deren Zweck geprüft und ggf. Schutzmaßnahmen vorgenommen werden.

 

Für die Bereitstellung eigener Videokonferenzen-Dienste sind diese Punkte relevant:

  • Datenschutz-Regelungen müssen verständlich sein (auch wichtig: Welche Methoden und wofür diese genutzt werden).
  • Nutzer müssen auf Tracking-Technologien hingewiesen werden.
  • Nutzer müssen diesen zustimmen.
  • Auch bei einer Ablehnung sollte das Tool verwendbar sein.
  • Einwilligungen sollten dokumentiert werden.
  • Bildschirmfreigaben benötigen vorerst eine Zustimmung des Nutzers.
  • Aufzeichnungen müssen nach Nutzungsende gelöscht werden.
  • Das Erstellen von Verhaltensprofilen ist nicht erlaubt.
  • Eine Datenübertragung muss verschlüsselt erfolgen.
  • Dem Nutzer muss eine Möglichkeit geboten werden, seine Einwilligung zu widerrufen.

 

Datenschutzkonformes Videokonferenzen-Tool „Mecamic“

Unser eigenes Videokonferenzen-Tool “Mecamic.com” entspricht den DSGVO-Vorschriften und du kannst es ohne Bedenken nutzen. Ein Download ist nicht nötig. Unser Tool läuft direkt im Browser, idealerweise über Chrome. Es sind keine zusätzlichen Informationen erforderlich. Man muss sich nicht registrieren. Daten werden verschlüsselt direkt zwischen den Teilnehmern übertragen. Das funktioniert aktuell mit bis zu 4 Teilnehmern. Probiere doch direkt mal die Beta-Version aus! 

 

Fazit

Wie du siehst, ist die DSGVO sehr umfangreich und bringt vieles mit sich. Umso wichtiger ist es, die Website oder andere Dienste anzupassen, damit du als Anbieter nicht abgestraft wirst. Mithilfe dieses Blogbeitrags sollte dir das einfach gelingen.

 

Quellen:
https://datenschutz-generator.de/dsgvo-video-konferenzen-online-meeting/
https://mecamic.com/https://www.datenschutz.org/privacy-shield/
https://www.e-recht24.de/news/datenschutz/11182-cloud-act-oder-dsgvo-das-muessen-unternehmen-beachten.html
https://www.datenschutz.org/safe-harbor/
https://www.e-recht24.de/datenschutzgrundverordnung.html
https://www.e-recht24.de/artikel/datenschutz/10580-auftragsdatenverarbeitung-adv-datenschutz.html
https://www.datenschutz.org/auftragsdatenverarbeitung/
https://www.e-recht24.de/artikel/datenschutz/6843-google-analytics-datenschutz-rechtskonform-nutzen.html
https://www.bussgeldkatalog.org/google-analytics-datenschutz/#hier

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.